Notion エンタープライズ セキュリティプロビジョン

Notionのコネクテッドワークスペースは、Wikiやドキュメント、プロジェクトが一元管理され、すべてのチームがコラボレーションや作業の管理ができる場所です。

Notionはお客様の最も重要な知的財産のハブとなるため、データの安全のために必要なすべての保護対策をとり、確実にコンプライアンスに準拠している必要があります。

このガイドでは、Notionのエンタープライズプラン向けのセキュリティ・コンプライアンス機能を使用して、エンタープライズグレードの完全なエクスペリエンスを実現し、企業データを安全に保護する方法について説明します。

ワークスペースオーナーは、設定メニューの セキュリティ タブから、Notionのすべてのワークスペースセキュリティ設定をコントロールすることができます。

次の設定を活用して、ワークスペースを安全に保護することができます。

• ページのWeb公開を無効にする： このワークスペースのすべてのページで、「共有」メニューの「Webで公開」オプションが無効になります。

• ゲストを無効にする： ワークスペース外の人を任意のページに招待する機能を無効化します。ただし、ワークスペースで「ゲストを無効にする」が有効になっている場合でも、ワークスペースオーナーはメンバーによるゲスト招待のリクエスト送信を許可することが可能です。これにより、外部のコラボレーターまたはゲストへのアクセスを細やかに制御できます。

• 他のワークスペースへのページの移動や複製を無効にする： 「別ページへ移動」や「複製」の機能を使ってデータをほかのワークスペースに持ち出す操作ができなくなります。

• エクスポートを無効にする： ページやデータベースコンテンツをPDF、HTML、マークダウン、CSVの形式でエクスポートできなくなります。

これらのオプションをすべて無効にすると、コンテンツに最も厳しい制限がかかり、ワークスペース外へのコンテンツの共有、ダウンロード、移動ができなくなります。

管理者向け機能とユーザー管理の詳細については、エンタープライズガイドをご覧ください。

Notionでは、Wikiの構築やドキュメントの整理、議事録の作成、タスクやプロジェクトの管理などを行うことができます。

ということは、ワークスペースには、おそらく機密情報が含まれています。例えばWikiには会社や従業員の情報が、ドキュメントや議事録内には顧客情報が、プロジェクト管理には知的財産などが含まれている可能性があるでしょう。

そうした情報はいかなる業界においても保護されなければなりませんが、ヘルスケアやeコマースといった規制産業では極めて重要です。

Notionでは、お客様に安心してデータを保管いただけるよう、厳選されたSIEM/DLPのセキュリティおよびコンプライアンスパートナーとの構築済みインテグレーションを提供しています。

SIEM（セキュリティ情報およびイベント管理）は、SIM（セキュリティ情報管理）、およびSEM（セキュリティイベント管理）を1つのシステムに統合し、組織におけるセキュリティ上の脅威の検出・分析・対応に役立ちます。

SIEMインテグレーションは、さまざまなソースからイベントログデータを収集し、異常なアクティビティをリアルタイムで特定します。また、設定可能なアラート、レポート、ダッシュボードを搭載しています。SIEMソリューションをNotionに統合することで、他のSaaSアプリのログを監視している共有プラットフォームにNotionの監査ログ情報を取り込むことができ、より高度な分析・検索・相関性の確認を行うことが可能になります。

SIEMソリューションを使用しない場合、ワークスペースオーナーは、ワークスペース内の疑わしい動作についてアクティビティを手動で監査することに制限されるため、それらのアクティビティが見過ごされるリスクがあります。

また、SIEMソリューションとのインテグレーションでは、異常なアクティビティに関するアラートを設定し、インシデント調査に役立つレポートやダッシュボードを構築することも可能です。これらのツールにより自動アラートが可能になりますが、Notion内での自動アクションはトリガーしません。

Notionでは、Splunk、SumoLogic、Panther、Datadogとのインテグレーションが可能です。

データ損失防止（DLP）ツールは、ユーザーが機密データを承認されていないプラットフォームに保存したり、承認されていない内外部のオーディエンスに共有することを防ぎます。これらのツールは、パターンのライブラリを使って、さまざまな種類の機密情報と個人を特定できる情報（PII）を識別します。

DLPインテグレーションは、機密データの使用を検出し、自動化されたアクションを実行してデータ侵害を迅速に修復します。具体的には、ワークスペースオーナーへの警告、コンテンツの削除、またはページアクセスの制限などの実行が可能です。

DLPインテグレーションを利用していない場合、ワークスペースオーナーはNotionワークスペースで発生している機密コンテンツの作成や露出を素早く特定して、措置を講じる手段がありません。その結果、機密コンテンツが作成され、見過ごされる可能性があります。また、従業員がコンテンツをゲストに共有したり、Webで公開したりすることで、意図せぬオーディエンスに対して機密情報が露出してしまう恐れがあります。

DLPソリューションをNotionに統合すると、Notionに保存されているさまざまな種類の機密情報を識別し、それらを削除するためのアクションを実行できます。

DLPツールは自然言語処理を使用して、Notionを分類、タグ付けします。そのため、たとえばクレジットカード番号、個人の健康情報（PHI）、パスワードやAPIキーなどの機密性の高い顧客情報を認識できます。

機密コンテンツについてワークスペースオーナーに通知するアラートを作成し、ワークスペースから機密コンテンツを即座に削除する自動アクションをトリガーして、手動介入により機密情報が露出している時間を短縮できます。

また、コンテンツのWeb公開やゲストへの外部共有の際にワークスペースオーナーにアラートし、ページのアクセス権限を制限する自動アクションを設定して、許可されていないオーディエンスによるデータ漏洩を防ぐこともできます

Notionは、DLPツールのNightfall AIおよびPolymerとのインテグレーションが可能です。（近日公開予定）

以上のようなインテグレーションを通じて、ワークスペースオーナーは一元化されたDLP/SIEMプラットフォームで、会社が使用する他のツールとともにNotionの管理と監視が行えます。

Notionのエンタープライズプランのワークスペースオーナーは、チームメンバーによるコンテンツ活用とワークスペース全体の使用状況についてより深い情報を得るために、さらなるデータとレポートを利用することが可能です。

現在Notionエンタープライズプランで利用できる、最も強力なデータおよびレポート機能をいくつかご紹介します。

エンタープライズプランのワークスペースオーナーは、設定 → ワークスペース設定で、「メンバーをCSVにエクスポートする」ボタンをクリックして全メンバーの一覧をエクスポートすることができます。このCSVエクスポートには、ユーザー名、メールアドレス、ロール、所属するグループ、一意のNotionユーザーIDを含む、ワークスペース内のメンバー全員の一覧が含まれます。

法的およびコンプライアンスのバックアップを容易にするため、エンタープライズプランのワークスペースオーナーは、CSVやマークダウン、PDFなど複数のファイル形式でワークスペースをエクスポートすることが可能です。設定 → ワークスペース設定で「ワークスペースのすべてのコンテンツをエクスポートする」をクリックすると、ファイルをダウンロードするためのリンクが記載されたメールがNotionから送信されます。リンクの有効期限は7日間です。

エンタープライズプランのワークスペースオーナーは、設定 メニューから監査ログにアクセスし、ワークスペースで発生したさまざまなイベントの概要を確認することができます。 この機能は、潜在的なセキュリティ問題の特定、疑わしい動作の調査、アクセスのトラブルシューティングなどにご活用いただけます。

追加分析が必要な場合には、フィルターオプションを使用してデータを掘り下げ、特定の日付範囲の全監査ログイベントをCSVファイルとしてエクスポートできます。

コンテンツ検索により、エンタープライズプランのワークスペースオーナーはワークスペースのコンテンツを可視化することができ、ガバナンスの強化やページアクセスの問題解決を行うことができます。

• ページにアクセスできるユーザーを表示する

• ページのアクセス権限を変更する

• 放置されている退職者のページ（プライベートページを含む）を検出し、他の人に割り当てる

コンテンツ検索では、 タイトル または ID でページを検索できます。ページのタイトルやIDがわからない場合は、組み込みのフィルターを使用して結果を絞り込むことができます。ページの共有状況（プライベート、内部共有、外部共有、Web公開）に加えて、次の情報も確認できます。

• ページの作成者と作成日

• 最終編集日と編集日

• ページの共有相手

• ページの場所（チームスペースなど）

コンテンツの外部共有を厳しく制限している場合は、フィルターを使用し、外部共有されているすべてのページ（ゲストアクセス含む）やWebで公開されているページを抽出することができます。これによりすべてのページを俯瞰的に把握することができ、ワークスペースオーナーはより効果的なワークスペースの管理を実施できます。

制限されたページや不適切に共有されたページのページアクセス権限に関して、ワークスペースオーナーとして対応が必要なことがあるかもしれません。このような場合は、 コンテンツ検索のページビューに、各ページの右側の ... ドットメニューに、アクセス許可を変更するオプションがあります。

Notionエンタープライズプランのワークスペースにおけるすべてのコンテンツは、その会社が所有権を持っています。Notionで検証済みドメインを使用した際にワークスペースオーナーがアクセスできるデータについての質問があった場合は、この記事を従業員に共有してお役立てください。

Notionは、さまざまな規制および業界標準に従ってデータを保護するように設計された包括的なセキュリティおよびプライバシープログラムを維持しています。

Notionは以下のような認証を取得しています。

• SOC2

• SOC3

• ISO 27001

HIPAAの対象となるお客様をサポートするために、NotionはHIPAAコンプライアンス監査も完了しております。そのため、ヘルプセンターの記事に記載されているセキュリティ機能を有効にし、Notionの業務提携契約（BAA）に署名することを条件に、エンタープライズワークスペース内でPHIを処理できます。

NotionがAIに接続されたワークスペースを構築し続けるにあたり、お客様のセキュリティとコンプライアンスのニーズは当社のプロダクト戦略の不可欠な部分です。Notionは、お客様のユーザーデータを使用したり、Notion AIの提供に使用される機械学習モデルをトレーニングするために他者がお客様のユーザーデータを使用することを許可したりすることはありません。お客様がNotion AIを使用することにより、Notionの機械学習モデルを訓練するためのお客様のユーザーデータに対するいかなる権利またはライセンスもNotionには付与されません。詳細については、よくあるご質問（FAQ）をご参照ください。

Notionセキュリティレビューを実施する場合には、以下の情報も併せてご参照ください。

1. Whistic Portalにアクセスします。ここでは、監査レポートや各種認証、ペネトレーションテストの結果、セキュリティ調査など、Notionのすべてのセキュリティ対策、プロトコル、ツールが確認できます。

2. Notionがどのようにお客様のデータを保護しているかについては、セキュリティとプライバシーポリシー、およびセキュリティ対策をご覧ください。

3. Notionのエンタープライズプランの評価やセキュリティ要件の確認については、営業にお問い合わせいただくか、BAAについてお問い合わせください。